このドキュメントは 2023 年 2 月 24 日にリリースされた Tomcat 8.5.86のリリースノートの日本語訳です。
ダウンロードは Tomcat ダウンロードより行えます。
以下はリリースの詳細と、最新情報およびドキュメントを補足するその他情報について記載しています。
脆弱性修正
* Apache Tomcat 情報漏洩 CVE-2023-28708: RemoteIpFilter を、https に設定された X-Forwarded-Proto ヘッダを含む HTTP でリバースプロキシから受信したリクエストに使用した場合、Tomcat が作成したセッションクッキーに secure 属性が含まれていませんでした。このため、ユーザエージェントが安全ではないチャンネルでセッションクッキーを送信してしまう可能性がありました。この問題が修正されました。(CVE-2023-28708)
不具合修正(Catalina)
* Context にマップ不可能なリクエストからの cookie を Valve からアクセスできるようになりました。
* 正規表現が使用されていないところでは、String.replaceAll() ではなく String.replace() が使われるようになりました。
* RemoteIpFilter がリクエストが安全なチャンネル経由で投稿されたと判断した場合に JSessionId セキュア属性が欠けていた問題が修正されました。(66471)
不具合修正(Coyote)
* HTTP/2 レスポンスがボディを含んではいけない場合、ヘッダフレームにストリームの末尾フラグが設定され、データフレームが何も送られないことが保証されるようになりました。(66442)
* 全接続でフロー制御ウィンドウが使い果たされてしまったときに HTTP/2 上の WINDOW_UPDATE フレームの処理で ClassCastException が発生する可能性がありましたが、その原因が修正されました。(66455)
不具合修正(Jasper)
* 式言語から varargs を受け付けるメソッドを呼び出す際に引数を一個しか渡していない呼び出しが修正されました。(66419)
* JSP 中の static フィールドのインポートがそのページで使用されているどの EL 式からも可視となるように修正されました。(66441)
不具合修正(Web applications)
* ドキュメント Web アプリケーションへのアクセスがデフォルトでは localhost からに限定されるようになりました。(66429)
* Examples Web アプリケーションへのアクセスがデフォルトでは localhost からに限定されるようになりました。(66429)
機能追加・改良(Catalina)
* 外部 Web サーバからのプロキシにリダイレクト可能なエラーレポートバルブが追加されました。
* RemoteIpFilter および RemoteIpValve 向けの内部プロキシを特定するのに使用される正規表現に RFC 6598 で定義される Shared Address Space (100.64.0.0/10) が追加されました。(66470)
機能追加・改良(Coyote)
* Tomcat 起動時に、設定された TLS 証明書のそれぞれについての基本的な情報がログ出力されるようになりました。
* 設定された TLS 証明書のログ出力用に org.apache.tomcat.util.net.NioEndpoint.certificate / org.apache.tomcat.util.net.Nio2Endpoint.certificate / org.apache.tomcat.util.net.AprEndpoint.certificate が追加されました。
機能追加・改良(Other)
* 韓国語翻訳が改善されました。
* OpenSSL 1.1.1t でビルドされた Windows バイナリを使用するために、Tomcat Native Library のパッケージ化バージョンが 1.2.36 に更新されました。
詳細は以下をご覧ください。
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.86
https://tomcat.apache.org/tomcat-8.5-doc/changelog.html#Tomcat_8.5.86_(schultz)